L’équipe de réponse aux incidents de sécurité de Stoïk répond directement aux assurés lorsqu’ils sont victimes d’une cyberattaque. L’objectif : exclure l’attaquant du système d’information le plus rapidement possible pour pouvoir le remettre en état et permettre une reprise d’activité en un temps record. Voici ici comment nos équipes du CERT-Stoïk ont accompagné une entreprise de e-commerce dont les moyens de paiement avaient été détournés par un attaquant.
Une cyberattaque confirmée suite à un simple doute
Depuis plusieurs jours, notre client détecte une activité qui lui semble suspecte sur son site de e-commerce. Son premier réflexe est alors de se tourner vers son prestataire informatique pour l’en informer. Après investigation, le prestataire explique à notre client qu’il n’a rien trouvé et qu’il ne s’agit pas d’une cyberattaque.
C’est à ce moment-là que notre assuré nous contacte pour nous faire part de son doute. Notre CERT-Stoïk met tout de suite une équipe à disposition pour investiguer. On découvre très rapidement des connexions provenant d’adresses IP suspectes, attribuées au réseau Tor, très utilisé par les cybercriminels. Nous confirmons que ces connexions ne viennent pas des collaborateurs de l’entreprise : il y a bien une cyberattaque en cours.
L’attaquant avait remplacé les moyens de paiements
Deuxième étape pour notre équipe CERT-Stoïk : vérifier si des éléments ont été modifiés récemment sur le site web. Nous découvrons très rapidement que les coordonnées bancaires du module de paiement ont été modifiées :
L’attaquant avait modifié le module de paiement par carte pour récupérer les numéros de CB et CVV, ou simplement détourner le paiement vers son propre compte.
Il avait remplacé les coordonnées bancaires de l’entreprise par les siennes pour recevoir tous les paiements par virement effectués.
Une journée pour remettre le site en état de marche
Une fois l’attaque découverte, le travail de remédiation peut commencer :
- Nous supprimons tous les fichiers qui ont été ajoutés ou modifiés par l’attaquant ;
- Nous rétablissions les bonnes informations de paiement sur le module concerné ;
- Nous supprimons le module vulnérable tiers qui était compromis ;
- Nous procédons à un renouvellement de tous les mots de passe des utilisateurs.
Résultat, en une journée, le site de e-commerce fonctionne à nouveau normalement.
Notre client était ravi de la prestation apportée par notre CERT-Stoïk et compte prendre de nouvelles mesures de cybersécurité pour son entreprise.